Configure las aplicaciones SaaS para requerir la aprobación antes de que los usuarios puedan acceder a ellas. Utilice esta función cuando tenga aplicaciones SaaS que utilizan las licencias de acceso para ayudar a administrar las activaciones de licencia. Al habilitar las aprobaciones, configure la opción de Se requiere la aprobación de la licencia correspondiente en el registro de aplicaciones de SaaS aplicable.

  • Flujo de trabajo de aplicación: los usuarios pueden ver la aplicación en su catálogo de Workspace ONE y solicitar el uso de la aplicación. Workspace ONE Access envía el mensaje de solicitud de aprobación a la URL del endpoint REST de aprobación configurada de la organización. El sistema revisa la solicitud y devuelve un mensaje de aprobación o de denegación a Workspace ONE Access. Cuando se aprueba una aplicación, el estado de la aplicación cambia de Pendiente a Agregado y la aplicación se muestra en la página de inicio de Workspace ONE del usuario.
  • Motores de aprobación: el sistema ofrece dos motores de aprobación.
    • API de REST: el motor de aprobación API de REST utiliza una herramienta de aprobación externa que se enruta a través de la API de REST de su servidor web para realizar las respuestas de solicitud y aprobación. Introduzca la URL de REST API en el servicio de Workspace ONE Access y configure las REST API con las credenciales del cliente OAuth de Workspace ONE Access y la acción de respuesta y solicitud de llamada.
    • API de REST a través de conector: el motor de aprobación API de REST a través de conector enruta las llamadas de devolución de llamada a través del conector con el canal de comunicación basado en Websocket. Configure el endpoint de API de REST con la acción de respuesta y solicitud de llamada.

Metadatos SAML y certificados autofirmados o certificados de CA

Puede usar los certificados SAML de la página Configuración para sistemas de autenticación, como el inicio de sesión único móvil. El servicio de Workspace ONE Access crea automáticamente un certificado autofirmado para la firma de SAML. Sin embargo, algunas organizaciones requieren certificados de las entidades de certificación (CA). Para solicitar un certificado de su CA, genere una solicitud de firma de certificado (CSR) en Ajustes. Puede utilizar cualquiera de los certificados para autenticar usuarios en aplicaciones SaaS.

Envíe el certificado a aplicaciones fiables para configurar la autenticación entre la aplicación y el sistema Workspace ONE.

Puede añadir proveedores de identidad de terceros para autenticar usuarios en Workspace ONE Access. Para configurar la instancia del proveedor, use los metadatos del proveedor de identidad y del proveedor de servicios copiados de la sección Configuración en la consola de AirWatch. Para obtener información detallada sobre cómo configurar otros proveedores, consulte Configurar una instancia de proveedor de identidades de terceros para autenticar usuarios, en Workspace ONE Access.

Puede configurar su fuente de la aplicación seleccionando el proveedor de identidades de terceros correspondiente. Tras configurar la fuente de la aplicación, podrá crear las aplicaciones asociadas.

Configurar aprobaciones para las aplicaciones SaaS

Utilice las aprobaciones para las aplicaciones SaaS que activan licencias para su uso. Cuando se habilita con la opción correspondiente de Se requiere la aprobación de la licencia, los usuarios solicitan acceso a las aplicaciones SaaS correspondientes desde el catálogo de Workspace ONE antes de la instalación y la activación de la licencia.

  1. Navegue a Recursos > Aplicaciones > SaaS y seleccione Ajustes.
  2. Seleccione Aprobaciones.
  3. Seleccione para habilitar la función.
  4. Seleccione un Motor de aprobación que utiliza el sistema para solicitar las aprobaciones.
  5. Introduzca el URI (Uniform Resource Identifier) de devolución de llamada del recurso REST que escucha la solicitud de llamada.
  6. Introduzca el Nombre de usuario si la API de REST requiere credenciales para el acceso.
  7. Introduzca la Contraseña del nombre de usuario si la API de REST requiere credenciales para el acceso.
  8. Introduzca el certificado SSL en formato PEM (correo electrónico con privacidad mejorada) para la opción Certificado SSL en formato PEM, si el recurso REST se ejecuta en un servidor que tiene un certificado autofirmado o un certificado que no es de confianza para una entidad de certificación pública y utiliza HTTPS.

Configurar metadatos de SAML para la capacidad de inicio de sesión único

Recupere los metadatos de SAML y los certificados de la página Configuración para las capacidades de inicio de sesión único con aplicaciones SaaS.

Importante: Todas las conexiones de inicio de sesión único que dependen de los metadatos de SAML existentes se cortan cuando la generación de CSR crea los metadatos de SAML.

Aviso: Si reemplaza un certificado SSL existente, cambiarán los metadatos de SAML existentes. Si reemplaza un certificado SSL, debe actualizar las aplicaciones SaaS que ha configurado para el inicio de sesión único móvil con el último certificado.

  1. Navegue a Recursos > Aplicaciones > SaaS y seleccione Ajustes.

  2. Seleccione Metadatos de SAML > Descargar metadatos de SAML y complete las tareas.

    Ajustes Descripción
    Metadatos de SAML Copie y guarde los metadatos del proveedor de identidad y los metadatos del proveedor de servicios.
    Seleccione los vínculos y abra una instancia del navegador con los datos XML.
    Configure su proveedor de identidades externo con esta información.
    Certificado de firma Copie el certificado de firma que incluye todo el código en el área de texto.
    También puede descargar el certificado para guardarlo como un archivo TXT.
  3. Seleccione Generar CSR y complete las tareas para solicitar un certificado de identidad digital (certificado SSL) a la entidad de certificación. Esta solicitud identifica su empresa, nombre de dominio y clave pública. La autoridad de certificación (CA) externa la usa para emitir el certificado SSL. Para actualizar los metadatos, cargue el certificado firmado.

    Configuración: Nuevo certificado Descripción
    Nombre común Introduzca el nombre de dominio totalmente cualificado para el servidor de la organización.
    Organización Introduzca el nombre de lea empresa que está legalmente registrada.
    Departamento Introduzca el departamento de la empresa a la que el certificado hace referencia.
    Ciudad Introduzca la ciudad donde se sitúa legalmente la organización.
    Estado o provincia Introduzca el estado o la provincia en la que reside legalmente la organización.
    País Introduzca el país de residencia legal de la organización.
    Algoritmo de generación de claves Seleccione un algoritmo usado para firmar la CSR.
    Tamaño de la clave Seleccione el número de bits utilizado en la clave. Seleccione 2048 o un valor mayor.
    Los tamaños de clave RSA inferiores a 2048 se consideran inseguros.
    Configuración: Reemplazar un certificado Descripción
    Cargue el certificado SSL. Cargue el certificado SSL que ha recibido de su entidad de certificación de terceros.
    Solicitud de firma de certificado Descargue la solicitud de firma de certificado (CSR). Envíe la CSR a la autoridad de certificación (CA) externa.

Cómo configurar el origen de la aplicación para los proveedores de identidades de terceros

Al agregar un proveedor de identidad como origen de la aplicación, se simplifica el proceso de agregar distintas aplicaciones de ese proveedor al catálogo del usuario final, ya que se pueden aplicar los ajustes y las directivas configuradas desde el origen de la aplicación de terceros a todas las aplicaciones que administra el origen de la aplicación.

Para comenzar, autorice al grupo ALL_USERS en la fuente de la aplicación y seleccione una política de acceso para aplicarla.

Las aplicaciones web que utilizan el perfil de autenticación SAML 2.0 pueden agregarse al catálogo. La configuración de la aplicación se basa en las opciones configuradas en la fuente de la aplicación. Solo es necesario configurar el nombre de la aplicación y la dirección URL de destino.

Cuando agregue aplicaciones, puede autorizar a usuarios y grupos específicos y aplicar una política de acceso para controlar el acceso de los usuarios a la aplicación. Los usuarios pueden acceder a estas aplicaciones desde sus dispositivos móviles y de escritorio.

Las configuraciones y políticas de la fuente de la aplicación de terceros pueden aplicarse a todas las aplicaciones administradas por la fuente de la aplicación. En ocasiones, los proveedores de identidades de terceros envían una solicitud de autenticación sin incluir la aplicación a la que está intentando acceder un usuario. Si Workspace ONE Access recibe una solicitud de autenticación que no incluye la información de la aplicación, se aplican las reglas de la política de acceso de reserva configuradas en la fuente de la aplicación.

Los siguientes proveedores de identidades pueden configurarse como fuentes de la aplicación.

  • Okta
  • Servidor PingFederated de Ping Identity
  • Active Directory Federation Services (ADFS)

Configure la fuente de la aplicación seleccionando el proveedor de identidades de terceros. Tras configurar la fuente de la aplicación, podrá crear las aplicaciones asociadas y autorizar a los usuarios.

  1. Navegue a Recursos > Aplicaciones > SaaS y seleccione Ajustes.

  2. Seleccione las Fuentes de la aplicación.

  3. Seleccione el proveedor de identidades de terceros. Se abrirá el asistente de Fuente de la aplicación del proveedor de identidades de terceros.

  4. Introduzca un nombre descriptivo para la fuente de la aplicación y haga clic en Siguiente.

  5. El Tipo de autenticación es el predeterminado para SAML 2.0 y es de solo lectura.

  6. Modifique la Configuración de la fuente de la aplicación

    Opciones de configuración: URL/XML

    Ajustes Descripción
    Configuración URL/XML es la opción predeterminada para las aplicaciones SaaS que aún no forman parte de Workspace ONE Catalog.
    URL/XML Introduzca la URL si se puede acceder a los metadatos XML en Internet.
    Pegue el XML en el cuadro de texto si no se puede acceder a los metadatos XML en Internet pero dispone de los mismos.
    Utilice la configuración manual si no tiene los metadatos XML.
    Retransmisión de estado de URL Introduzca una URL a la que desea remitir a los usuarios de la aplicación SaaS después del procedimiento de inicio de sesión en un escenario iniciado por el proveedor de identidad (IDP).

    Opciones de configuración: Manual

    Ajustes Descripción
    Configuración Manual es la opción predeterminada para las aplicaciones SaaS agregadas desde el catálogo.
    URL de inicio de sesión único Introduzca la URL del servicio del consumidor de aserción (ACS).
    Workspace ONE envía esta URL a su proveedor de servicios para el inicio de sesión único.
    URL de destinatario Introduzca la URL con el valor específico requerido por su proveedor de servicio que establece el dominio en el sujeto de aserción SAML.
    Si el proveedor de servicios no requiere un valor específico para esta URL, introduzca la misma URL como URL de inicio de sesión único.
    ID de aplicación Introduzca el ID que identifica a su inquilino de proveedor de servicios en Workspace ONE. Workspace ONE envía la aserción SAML al ID.
    Algunos proveedores de servicios usan la URL de inicio de sesión único.
    Formato de nombre de usuario Seleccione el formato requerido por los proveedores de servicios para el formato de sujeto de SAML.
    Valor de nombre de usuario Introduzca el valor de ID de nombre que Workspace ONE envía en la instrucción del sujeto de aserción SAML.
    Este valor es un valor de campo de perfil predeterminado para un nombre de usuario en el proveedor de servicio de la aplicación.
    Retransmisión de estado de URL Introduzca una URL a la que desea remitir a los usuarios de la aplicación SaaS después del procedimiento de inicio de sesión en un escenario iniciado por el proveedor de identidad (IDP).
  7. Modifique las Propiedades avanzadas.

    Ajustes Descripción
    Firmar respuesta Introduzca la URL para dirigir a los usuarios a la aplicación SaaS en Internet.
    Firmar aserción Introduzca la URL del servicio del consumidor de aserción (ACS).
    Workspace ONE envía esta URL a su proveedor de servicios para el inicio de sesión único.
    Cifrar aserción Introduzca la URL con el valor específico requerido por su proveedor de servicio que establece el dominio en el sujeto de aserción SAML.
    Si el proveedor de servicios no requiere un valor específico para esta URL, introduzca la misma URL como URL de inicio de sesión único.
    Incluir firma de aserción Introduzca el ID que identifica a su inquilino de proveedor de servicios en Workspace ONE. Workspace ONE envía la aserción SAML al ID.
    Algunos proveedores de servicios usan la URL de inicio de sesión único.
    Algoritmo de firma Seleccione SHA256 con RSA como algoritmo de hash de cifrado seguro.
    Algoritmo de compendio Seleccione SHA256
    Tiempo de aserción Introduzca el tiempo de aserción de SAML en segundos.
    Solicitar firma Si desea que el proveedor de servicios firme la solicitud que envía a Workspace ONE, introduzca el certificado de firma público.
    Certificado de cifrado Introduzca el certificado de cifrado público si desea que se firme la solicitud de SAML desde el proveedor de servicios de la aplicación a Workspace ONE.
    URL de inicio de sesión de aplicación Introduzca la URL de la página de inicio de sesión del proveedor de servicios. Esta opción activa el proveedor de servicios para que realice un inicio de sesión en Workspace ONE. Algunos proveedores de servicios requieren autenticación para empezar desde su página de inicio de sesión.
    Cuenta de proxy Introduzca las capas de proxy permitidas entre el proveedor de servicios y un proveedor de identidad de autenticación.
    Acceso de API Permita el acceso de API a esta aplicación.
  8. Configure Asignación de atributos personalizada. Si el proveedor de servicios admite atributos personalizados distintos a los del inicio de sesión único, agréguelos.

  9. Si desea abrir la aplicación en el VMware Browser, seleccione Abrir en VMware Browser. No obstante, se necesita Workspace ONE para abrir la aplicación en VMware Browser. Si usa VMware Browser, la apertura de las aplicaciones SaaS en dicho navegador aporta mayor seguridad. Esta acción mantiene el acceso dentro de los recursos internos.

  10. Haga clic en Siguiente.

  11. Para proteger el inicio de sesión en los recursos de la aplicación, seleccione las Políticas de acceso. Haga clic en Siguiente para ver la página de Resumen .

  12. Haga clic en Guardar. Si selecciona Guardar y Asignar al configurar la fuente de la aplicación, establecerá las autorizaciones para la fuente de la aplicación a Todos los usuarios. Sin embargo, puede cambiar la configuración predeterminada y administrar las autorizaciones de usuario y agregar usuarios o grupos de usuarios.

  13. Una vez configurado el proveedor de identidades como una fuente de la aplicación, puede crear las aplicaciones asociadas para cada uno de los proveedores de identidades de terceros. Una vez que haya completado las opciones de la pestaña Definición, puede seleccionar OKTA en el menú desplegable Tipo de autenticación en la pestaña Configuración.

  14. Puede establecer las autorizaciones para la fuente de la aplicación para Todos los usuarios o bien agregar usuarios/grupos de usuarios. De forma predeterminada, si selecciona Guardar y asignar al configurar la fuente de la aplicación, establecerá las autorizaciones para la fuente de la aplicación a Todos los usuarios.

check-circle-line exclamation-circle-line close-line
Scroll to top icon